pawelo Opublikowano 15 Lutego 2013 Zgłoś Udostępnij Opublikowano 15 Lutego 2013 Pojawił się wirus ukash i został usunięty po przeskanowaniu programem antimalwarebytes oraz drweb cure it, po dwóch dniach pojawił się jakiś fałszywy antyvirus - taka kłódeczka żółta w tray'u i krzyczy że komputer jest zainfekowany - nie można żadnego programu uruchomić. Results of screen317's Security Check version 0.99.57 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! WMI entry may not exist for antivirus; attempting automatic update. `````````Anti-malware/Other Utilities Check:````````` Java 6 Update 14 Java version out of Date! Adobe Flash Player 11.5.502.149 Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox (18.0.2) Google Chrome 24.0.1312.56 Google Chrome 24.0.1312.57 ````````Process Check: objlist.exe by Laurent```````` Microsoft Security Essentials MSMpEng.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2013 Zgłoś Udostępnij Opublikowano 15 Lutego 2013 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-755577899-856093358-3918629446-1000..\RunOnce: [C4481D22833FDBA40000C44758E2E35D] C:\ProgramData\C4481D22833FDBA40000C44758E2E35D\C4481D22833FDBA40000C44758E2E35D.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 IE - HKU\S-1-5-21-755577899-856093358-3918629446-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb165/?search={searchTerms}&loc=IB_DS&a=6OyPj5UOVw&i=26" 64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox :Files C:\Users\vobis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Disk Antivirus Professional C:\ProgramData\C4481D22833FDBA40000C44758E2E35D C:\Users\vobis\AppData\Roaming\skype.ini :Services .EsetTrialReset :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyServer"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyServer"=- "ProxyEnable"=dword:00000000 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. W Google Chrome widać jakieś dziwne rozszerzenie, z szukania na Google wynika, że ma nazwę "AT_BoaMistura". Wejdź do Rozszerzeń i sprawdź co tam widać. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
pawelo Opublikowano 15 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2013 w rozszerzeniach chrome nie ma kompletnie nic AdwCleanerS1.txt FSS.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2013 Zgłoś Udostępnij Opublikowano 15 Lutego 2013 w rozszerzeniach chrome nie ma kompletnie nic W logu to nadal widać. W pierwszym OTL jako: ========== Chrome ========== CHR - Extension: No name found = C:\Users\vobis\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkgdbohcihpkncnommadnmaicpjikfni\2_0\ Teraz coś się "przestawiło" i skan jest bardziej poprawny: ========== Chrome ========== CHR - Extension: AT_BoaMistura = C:\Users\vobis\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkgdbohcihpkncnommadnmaicpjikfni\2_0\ Będę ten podejrzany element usuwać. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\vobis\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkgdbohcihpkncnommadnmaicpjikfni Klik w Wykonaj skrypt. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\bkgdbohcihpkncnommadnmaicpjikfni] [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "{336D0C35-8A85-403a-B9D2-65C292C39087}"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Napraw uszkodzoną usługę Windows Defender za pomocą ServicesRepair. 4. Zrób nowy log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. . Odnośnik do komentarza
pawelo Opublikowano 15 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2013 zrobilem jeszcze raz i jest teraz OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2013 Zgłoś Udostępnij Opublikowano 15 Lutego 2013 Log źle zrobiony. Ty zaznaczyłeś opcję Rejestr - skan dodatkowy, a ja mówię o opcji Rejestr. EDIT: dodałeś prawidłowy log. Daj mi moment na analizę. Odnośnik do komentarza
pawelo Opublikowano 15 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2013 przez ostatnią godzinę nic mi już nie wyskoczyło, więc pewnie już będzie ok Odnośnik do komentarza
picasso Opublikowano 16 Lutego 2013 Zgłoś Udostępnij Opublikowano 16 Lutego 2013 Wszystko zrobione, kończymy: 1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj wszystkie stare Adobe / Java / Silverlight i zastąp najnowszymi: KLIK. Wg raportu masz zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416025FF}" = Java 6 Update 25 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 14"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.3 - Polish"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Gadu-Gadu" = Gadu-Gadu 6.1 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_149.dll ()FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) Gadu-Gadu 6.1 tu zakreślam, bo to miazga. Taki stary dziurawy program, bez zabezpieczeń (m.in. nie ma szyfrowania = możliwość podsłuchu) i niezdolny obsługiwać własną sieć (tak dużo zmian w protokole się odbyło, że wersja 6 prawie bezużyteczna). Zainteresuj się alternatywnym nowoczesnym programem z obsługą sieci Gadu: WTW. Pełny opis komunikatora: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi